Họ đang theo dõi bạn; ICO gửi cảnh báo dữ liệu đến các doanh nghiệp vừa và nhỏ ...

Họ đang theo dõi bạn; ICO gửi cảnh báo dữ liệu đến các doanh nghiệp vừa và nhỏ ...

Vào cuối tháng 5, Luật sư của chúng tôi, Rachel Robinson, đã tổ chức hội thảo trên web về tiến trình thực hiện Quy định chung về bảo vệ dữ liệu (GDPR) và hoạt động thực thi gần đây của cơ quan quản lý bảo vệ dữ liệu, ICO (Văn phòng Ủy viên Thông tin). GDPR, có hiệu lực vào ngày 25 tháng 5 năm 2018 (và được thực hiện ở Vương quốc Anh theo Đạo luật bảo vệ dữ liệu năm 2018) bắt buộc các tổ chức xử lý dữ liệu cá nhân chỉ làm như vậy nếu họ có cơ sở hợp pháp để xử lý và đã thực hiện các biện pháp kỹ thuật và bảo mật thích hợp để bảo vệ dữ liệu đó. GDPR được giới thiệu (trong số những thứ khác):

tài liệu nâng cao được lưu giữ bởi bộ điều khiển dữ liệu

Thông báo bảo mật nâng cao

các quy tắc mang tính quy định hơn về những gì cấu thành sự đồng ý (một trong những cơ sở được sử dụng nhiều nhất được yêu cầu xử lý hợp pháp)

yêu cầu thông báo vi phạm dữ liệu bắt buộc

nâng cao quyền cho Chủ thể dữ liệu (các cá nhân có dữ liệu đang được xử lý)

các nghĩa vụ mới đối với Bên xử lý dữ liệu (bên thứ ba thực hiện các hoạt động xử lý thay mặt cho bên chính) và

nghĩa vụ chỉ định các Nhân viên Bảo vệ Dữ liệu chuyên dụng cho các tổ chức trên một quy mô cụ thể hoặc nếu thực hiện xử lý có hệ thống các loại dữ liệu cá nhân nhất định.

Ngoài ra, GDPR đã giới thiệu sự gia tăng đáng kể về quy mô tiền phạt và hình phạt mà ICO có thể phát hành nếu các tổ chức không làm đúng và nếu thông tin cá nhân của các cá nhân có nguy cơ xảy ra. Nếu vi phạm (chủ yếu) các điều khoản về lưu trữ hồ sơ, hợp đồng và bảo mật, thì mức phạt tối đa mà ICO có thể thu là lên đến 10 triệu Euro hoặc 2% doanh thu hàng năm trên toàn thế giới (tùy theo mức nào lớn hơn). Đối với vi phạm (chủ yếu) các nguyên tắc cơ bản, yêu cầu quyền truy cập chủ thể dữ liệu, chuyển sang nước thứ ba và không tuân thủ lệnh ICO, mức phạt tối đa lên đến 20 triệu Euro hoặc 4% doanh thu hàng năm trên toàn thế giới (tùy theo mức nào lớn hơn). Hoạt động ICO gần đây bao gồm phạt Facebook (0,5 triệu bảng), Bounty (Anh) Limited (400.000 bảng), Chiến dịch bỏ phiếu (40 bảng, 000) cũng như ngày càng nhiều cá nhân (để chia sẻ / sử dụng dữ liệu bất hợp pháp như gửi thông tin chi tiết của khách hàng đến địa chỉ email gia đình). Cho đến gần đây, các hành vi vi phạm đã được điều tra theo luật trước đó (Đạo luật bảo vệ dữ liệu 1998) và tiền phạt được tính thấp hơn mức có thể theo GDPR. ICO đã thông báo rằng do kết quả của các cuộc điều tra hiện tại của họ, mức phạt cao hơn hiện có thể được dự kiến ​​cho các vi phạm GDPR.

Kể từ Hội thảo trên web của chúng tôi, ICO đã xuất bản bản cập nhật của họ về những phản ánh và học hỏi của riêng họ trong mười hai tháng qua, và đã làm mới Chính sách hành động theo quy định của họ. Trong báo cáo của họ, ICO đã đánh dấu những thách thức đang diễn ra đối với các doanh nghiệp và tổ chức vừa và nhỏ, bao gồm cả việc các tổ chức cần phải chứng minh được sự tuân thủ của họ với GDPR bằng cách thể hiện trách nhiệm của họ và bằng cách thể hiện sự hiểu biết về những rủi ro đối với các cá nhân trong cách họ xử lý dữ liệu và chỉ ra (và hành động) như thế nào để hạn chế những rủi ro đó. Chính sách ICO được làm mới tiếp tục tuân theo cách tiếp cận dựa trên rủi ro của họ để thực hiện hành động theo quy định đối với các tổ chức và cá nhân đã vi phạm các quy định về bảo vệ dữ liệu, quyền tự do thông tin và các luật khác, tập trung vào các lĩnh vực có rủi ro cao nhất và gây hại nhiều nhất.

thực hiện các cuộc đánh giá hoặc “đánh giá sự tuân thủ” của các tổ chức;

ban hành các lệnh thông báo cưỡng chế yêu cầu các hành động cụ thể để giải quyết các vi phạm;

các tổ chức phạt tiền vì vi phạm GDPR;

ban hành các hình phạt cố định cho các tổ chức vì không đáp ứng các nghĩa vụ cụ thể (ví dụ như không trả phí liên quan cho ICO); và

truy tố tội phạm trước toà án.

Khi ICO đã điều tra một tổ chức và đang xem xét hành động pháp lý nào để thực hiện, họ có thể tính đến các yếu tố tăng nặng và giảm nhẹ (các hoạt động mà tổ chức đã thực hiện hoặc không thực hiện có thể làm cho hành vi hoặc kết quả tồi tệ hơn hoặc ít nghiêm trọng hơn so với những gì nó có thể đã làm), chẳng hạn như liệu

thái độ và hành vi của cá nhân hoặc tổ chức liên quan cho thấy một cách tiếp cận có chủ đích, cố ý hoặc cẩu thả đối với việc tuân thủ hoặc mô hình kinh doanh hoặc hoạt động bất hợp pháp;

lời khuyên, cảnh báo, phản hồi tham vấn, điều kiện hoặc hướng dẫn từ ICO đã không được tuân thủ; và

bất kỳ lợi ích tài chính nào (bao gồm cả ngân sách) thu được hoặc những tổn thất tài chính mà cá nhân hoặc tổ chức có liên quan tránh được, trực tiếp hoặc gián tiếp.

Về phía các yếu tố giảm thiểu, ICO có thể tính đến việc

tổ chức đã có sẵn bất kỳ biện pháp bảo vệ hoặc phòng ngừa và công nghệ nào; hoặc là

nếu có thông báo sớm của cá nhân hoặc tổ chức có liên quan cho ICO về vi phạm hoặc vấn đề.

Để giúp chứng minh sự tuân thủ (và giúp giảm thiểu bất kỳ khoản tiền phạt nào nếu ICO điều tra và bị phát hiện là vi phạm), chúng tôi khuyên các tổ chức nên đưa ra một loạt các chính sách và lưu giữ hồ sơ để chứng minh rằng họ không chỉ tuân thủ GDPR mà còn chịu trách nhiệm về sự tuân thủ đó. Các tài liệu tối thiểu được khuyến nghị cho hầu hết các doanh nghiệp vừa và nhỏ là:

Thông báo về Quyền riêng tư (để hiển thị cho các cá nhân dữ liệu nào được lưu giữ và những gì được thực hiện với dữ liệu đó)

Nhật ký xử lý dữ liệu (một tài liệu quản lý nội bộ theo Điều 30 GDPR thể hiện quá trình xử lý được thực hiện và các quyết định liên quan đến quá trình xử lý đó)

Chính sách yêu cầu Quyền truy cập đối tượng (chính sách nội bộ dành cho nhân viên nêu chi tiết cách tổ chức sẽ xử lý các yêu cầu từ các cá nhân và cách phản hồi yêu cầu theo cách tuân thủ GDPR)

Chính sách Lưu giữ dữ liệu (chính sách nội bộ dành cho nhân viên nêu chi tiết cách tài liệu cần được lưu giữ an toàn và bảo mật, bao gồm thời hạn tối thiểu và tối đa (nếu có) để lưu giữ tài liệu để chứng minh sự tuân thủ các luật khác nhau bao gồm luật thuế và hợp đồng cũng như việc tiêu hủy tài liệu trong một Cách tuân thủ GDPR)

Thỏa thuận xử lý dữ liệu (với bên thứ ba) - một yêu cầu của GDPR

Quy trình vi phạm dữ liệu (chính sách nội bộ dành cho nhân viên nêu chi tiết cách tổ chức xử lý vi phạm GDPR theo cách tuân thủ GDPR)

https://luatthanhdo.com/tu-van-thu-tuc-cap-giay-chung-nhan-dau-tu